专业信息安全工程师网站|培训机构|服务商(2021信息安全工程师学习QQ群:327677606,客服QQ:800184589)

软题库 培训课程
当前位置:信管网 >> 信息安全工程师 >> 综合知识 >> 文章内容
文件加密-信息安全工程师知识点
来源:信管网 2019年01月31日 【所有评论 分享到微信

信息安全工程师知识点:文件加密

一些重要或私密信息如果外泄,会带来严重后果,如机密信息被竞争对手获取,移动设备(U盘、光盘、笔记本、硬盘)丢失或被盗甚至送修,机密信息被公开、盗卖。只有提早做好预防泄密的准备,才能防止此类安全器、患。

对文件进行加密是一种有效的数据加密存储技术,它可以有效防止非法入侵者窃取用户的机密数据;另外,在多个用户共享一个系统的情况下,可以很好地保护用户的私有数据。

文件加密就是将重要的文件以密文的形式存储在媒介上。要想实现文件加密,需要有加密文件系统的支持,加密文件系统允许用户以加密格式存储磁盘上的数据。加密是将数据转换成不能被其他用户读取的格式的过程。一旦用户加密了文件,只要文件存储在磁盘上,它就会自动保持加密状态。解密是将数据从加密格式转换为原始格式的过程。一旦用户解密了文件,只要文件存储在磁盘上,它就会保持解密状态。对加密某文件的用户,加密是透明的。这表明不必在使用前手动解密己加密的文件。

就可以正常打开和更改文件。

目前,已经有很多成熟的加密文件系统被广泛地应用,如基于Linux系统的CFS(Cryptographic File System)、TCFS(Transparent Cryptographic File System)、AFS(Andrew File System),基于Windows系统的EFS(Encrypting File System)等。

CFS是一个经典的加密文件系统,使用DES来加密文件。CFS客户基于网络文件系统CNFS)协议运行一个服务器保护程序,可~使用本地或网络文件系统来进行存储。CFS为目录和文件提供一个透明的接口,并自动使用用户提供的密钥加密。一条单独的命令把一个密钥和一个目录关联起来,从这时起,目录的内容在写时自动加密,在打开时自动解密。

CFS最大的缺点在于其效率低下,这是因为它的加密操作在用户层完成,而且要频繁地进行用户层到核心层的数据交换所致。另外,CFS的加密是基于自录的,虽然它会把加密目录下的所有文件内容加密,但文件名、文件大小、访问时间、目录结构等信息都是以明文形式存储,这些极大地影响了系统整体的安全性。

TCFS是一个受CFS启发的Linux软件包。TCFS具有更大的透明度,用户甚至不需知道他们的文件被加密了。TCFS操作起来类似于NFS:一个TCFS文件系统可以让应用程序使用相同的系统调用NFS(open、read、write)来访问。数据块仅在正确的密钥对内核可用时进行解密。TCFS对数据进行加密时,对每个文件使用不同的"文件密钥"进行加密,对一个文件的不同部分使用的不同的"块密铝"进行加密,这就保证了用户无法通过比较两个文件来判断它们的明文是否相同,也无法判断同一文件的不同部分的明文是否相同。用户的"主密钥"由用户的登录密码加密后存放在文件中。与CFS不同,TCFS的数据加密、解密操作在核也层完成,所以性能有所改善。

TCFS的问题在于系统的安全性过多地依赖于用户的登录密码,而且加密密钥存放在磁盘上的方式也在一定程度上降低了系统的安全性,因为其基于NFS的工作机制,每次读写操作都会涉及到多次核心层与用户层之间的数据交换,所以其效率的低下还是难以避免。另外,TCFS对文件名、文件大小、访问时间、目录结构等一些敏感信息也没有做很好的保护。

AFS是一个分布式加密文件系统,它通过一个统一的访问接口把多个服务器连接起来,形成一个庞大的数据存储空间。客户端在访问服务器上的数据时,只要把共享目录挂载到本地自录上就可以了,无须去关心数据到底存放在哪个服务器上。AFS实施了严格的访问控制,每个目录的访问控制列表可以有20个条目,这样,目录结构、目录下文件的文件名、文件大小等敏感信息得到了很好的保护; AFS提供了一个安全的数据传输路径,客户端与服务器端进行数据交换时用会话密钥进行加密。AFS存在一个严重的缺陷;数据在服务器端是明文存错。这就要求数据服务器必须绝对安全、可信,而这一点很难做到。另外,分布式的数据存储方式使得只要有一台服务器被非法侵入,则整个系统的安全性都将被破坏。

EFS是一个由微软从Windows2000系列开始引入的加密文件系统,它提供的透明的文件加密服务,以公共密钥加密为基础。EFS在后台运行并且对用户和应用程序是透明的,仅允许鉴别的用户访问加密的文件。EFS自动为用户解密文件并且在文件存储的时候为文件自动加密。EFS提供可选的数据恢复能力,系统管理员可以恢复另一用户加密的数据。EFS也可以实现多用户(当然是被许可的用户)共享存取一个己经加密的数据。EFS文件在本地或网络上都是保持加密状态的。文件可以在离线文件夹中被加密。加密的文件和文件夹是能够被颜色标示出来的。

EFS采用基于公钥的方案实现数据加密或解密,它使用标准x509证书,每一个受保护的文件都是被一个使用带有一定长度的文件加密密钥(FEK)的快速对称加密算法加密的(FEK的长度由算法或法则决定)。一个用户要访问一个己加密的文件,他必须拥有与公铝相适应的私钥。它易于管理,不易受到攻击,并且对用户是透明的。由于EFS被设计成为透明的,对于打开、读取、写入己加密文件使与操作普通文件没有任何区别。

EFS与NTFS紧密地集成在一起。当创建临时文件时,只要所有文件在NTFS卷上,原始文件的属性就会被复制到临时文件中。如果加密了一个文件, EFS也会将其临时文件进行加密。EFS驻留在操作系统内核中,并且使用不分页的池存储文件加密密钥,保证了密钥不会出现在分页文件中。这防止了一些应用程序在创建!陆时文件时泄密。

通过EFS加密敏感性文件,会增加更多层级的安全性防护。在加密文件时,即使黑客己完全存取电脑的文件储存体,其文件仍然受到保护。

EFS可以说是微软为用户提供的一个内建在Windows产品中的方便快捷并且强大的加密系统,然而,微软设计了让其他操作系统也能读取NTFS的文件格式来使南户能够避开使盘故障以及启动分区故障。因此,使用某些操作系统可以银容易地绕过NTFS安全机制,存取TFS文件。


扫码关注公众号

温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!

信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。

信管网软考课程由信管网依托10年专业软考教研倾力打造,官方教材参编作者和资深讲师坐镇,通过深研历年考试出题规律与考试大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。

相关内容

发表评论  查看完整评论  

推荐文章